침해사고/위협동향

악성코드 ‘듀큐’, 윈도 커널 제로데이 취약점 이용해 감염

이유지 기자
- 시만텍·CrySyS 연구소 분석…MS 워드 경유해 실행, 8개국 6개기업 감염

[디지털데일리 이유지기자] 최근 발견된 악성코드 ‘듀큐(W.32.Duqu)’가 기존에는 알려지지 않은 윈도 커널 제로데이 취약점을 이용하는 것으로 나타났다.

‘듀큐’는 지난해 이란 원자력발전소를 공격했던 ‘스턱스넷(Stuxnet)’과 유사한 악성코드로 지목돼 이슈화됐다.

지난달 ‘듀큐’의 보안위협을 경고한 시만텍 보안연구소는 2일 CrySyS(Cryptography and System Security) 연구소와 함께 ‘듀큐’의 감염 프로세스 등 추가 분석 결과를 발표했다.

CrySyS팀은 원본 듀큐 바이너리를 탐지한 데 이어 이번에 듀큐 인스톨러를 찾아내는 성과를 거뒀다. 지금까지는 인스톨러를 찾지 못해 듀큐가 어떻게 시스템을 감염시키는지 정확히 규명하기 어려웠지만 CrySyS 팀의 노력 덕분에 듀큐 감염 프로세스를 확인할 수 있게 됐다.

CrySyS가 찾아낸 듀큐 인스톨러 파일은 기존의 알려지지 않은 커널의 제로데이 취약점을 이용해 악성코드를 실행시키는 마이크로소프트 워드 문서(DOC)이다. 시만텍은 마이크로소프트측에 해당 취약점을 통보했으며, 마이크로소프트도 관련 보안 업데이트를 준비중인 것으로 확인됐다.

시만텍에 따르면, ‘듀큐’는 보안 패치가 없는 제로데이 취약점을 이용하며, 마이크로소프트 워드 문서를 경유해 설치된다.

공격자들은 P2P 명령과 제어 프로토콜을 통해 안전 지대에 있는 컴퓨터 시스템에 '듀큐'를 퍼뜨리며, 제어 가능하다.

현재까지 프랑스, 네덜란드, 스위스, 우크라이나,인도, 이란, 수단, 베트남 등 8개국 6개 기업에서 감염이 확인됐다. 벨기에에서 호스팅된 새로운 명령제어(Command&Control) 서버(77.241.93.160)가 발견돼 폐쇄됐다.

시만텍코리아의 윤광택 이사는 “기업의 지적 자산이 해당 기업뿐만 아니라 국가 경제에도 큰 영향을 주고 있어 산업 스파이 활동이 더욱 기승을 부리고 있는 상황”이라며, “갈수록 지능화, 정교화되고 있는 차세대 보안 위협에 맞서 기업들은 정보 중심의 보안전략을 바탕으로 전반적인 보안 프로세스를 점검하고, 임직원의 보안 의식 제고와 보안을 생활화해야 한다”고 강조했다.

또한 윤 이사는 “본인도 모르게 프로그램이 생성되거나 삭제됐거나 알 수 없는 파일이나 공유 폴더가 생긴 경우, 이유 없이 컴퓨터 프로그램 실행 속도가 느려지고 시스템이 멈춘 경우, 사용자 의사와 관계없이 프로그램이 실행되거나 주변 장치가 스스로 움직이는 증상이 나타난 경우에는 즉시 악성코드 감염을 의심해봐야 한다”며, “무엇보다 출처를 알 수 없거나 의심스러운 이메일은 바로 삭제하고. 파일공유 사이트 등에서 출처를 알 수 없는 파일은 함부로 내려 받지 않는 게 바람직하다”고 당부했다.

한편, 시만텍 보안기술대응팀(STAR, Security Technology and Response)은 듀큐에 대한 추가적인 분석을 계속하고 있으며, 새로운 정보가 확인되는 대로 듀큐 보안위협을 업데이트할 계획이다.

<이유지 기자> yjlee@ddaily.co.kr

이유지 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널